Zuletzt überprüft: Mai 2026
Erstellen Sie die AWS-Dienste der SC-900-Prüfung mit reinem Terraform — ein Block nach dem anderen, jeweils abgestimmt auf eine Prüfungsdomäne. Derselbe Code funktioniert auch mit OpenTofu.
Am Ende dieses Labs haben Sie mit einfachem Terraform die SC-900-Sicherheitsgrundlage bereitgestellt – eine Microsoft Entra-Sicherheitsgruppe (das Identitäts-Primitiv), ein Key Vault mit RBAC-Autorisierung, Microsoft Defender for Cloud Foundational CSPM, aktiviert auf Abonnementebene, und einen Log Analytics-Arbeitsbereich, der die Sicherheitstelemetrie empfängt. Vier Bausteine; die kleinste realistische Microsoft Security- und Identity-Oberfläche.
Fügen Sie die Snippets in eine einzelne main.tf ein, führen Sie terraform init aus und anschließend terraform apply Schritt für Schritt.
>= 1.5 oder OpenTofu >= 1.6.az login) – Ihre angemeldete Identität muss die Berechtigung zum Erstellen von Entra-Gruppen haben.azuread Terraform-Provider ist erforderlich (getrennt von azurerm). Er authentifiziert sich bei Microsoft Entra ID (dem Microsoft Graph) unter Verwendung derselben az login-Sitzung.Alles kostenlos in diesem Umfang:
Der gesamte Stack ist im Leerlauf bei ca. 0 $/Monat. Das SC-900-Lab ist das günstigste in diesem ganzen Kurs – das Ziel ist konzeptionelle Geläufigkeit, nicht teure Infrastruktur.
SC-900 erfordert die Interaktion mit Microsoft Entra ID – getrennt von Azure RBAC, separater Terraform-Provider. Wir fixieren sowohl azurerm als auch azuread. Letzterer verwaltet Entra-Benutzer, -Gruppen, App-Registrierungen und Dienstprinzipale; ersterer verwaltet Azure-Abonnements und -Ressourcen.
terraform {
required_version = ">= 1.5"
required_providers {
azurerm = { source = "hashicorp/azurerm", version = "~> 4.0" }
azuread = { source = "hashicorp/azuread", version = "~> 3.0" }
}
}
provider "azurerm" {
features {
key_vault {
purge_soft_delete_on_destroy = true
}
}
}
provider "azuread" {}
data "azurerm_client_config" "current" {}
data "azuread_client_config" "current" {}
locals {
tags = {
Project = "certlabpro-sc-900"
ManagedBy = "terraform"
}
}
resource "azurerm_resource_group" "main" {
name = "certlabpro-sc-900-rg"
location = "eastus"
tags = local.tags
}Microsoft Entra ID (ehemals Azure AD) ist der Identitäts- und Zugriffsverwaltungsdienst, in den jedes Microsoft Cloud-Produkt integriert ist. Der erste Bereich des SC-900 – Konzepte von Sicherheit, Compliance und Identität beschreiben – stützt sich auf Entra ID als Identitätsgrundlage.
Eine Sicherheitsgruppe ist der kanonische Container, um vielen Benutzern gleichzeitig RBAC-Rollen zuzuweisen. Die Prüfung testet dieses gruppenbasierte RBAC-Muster als die richtige Antwort für die Skalierung von Berechtigungen für Hunderte von Benutzern: Rollen Gruppen zuweisen, nicht Einzelpersonen.
Die Kombination aus security_enabled = true und mail_enabled = false erstellt eine reine Sicherheitsgruppe (kein freigegebenes Postfach). Das Hinzufügen des aktuellen Benutzers als Besitzer bedeutet, dass Sie die Mitgliedschaft nach terraform apply über das Entra-Portal verwalten können.
resource "azuread_group" "security_admins" {
display_name = "certlabpro-sc-900-security-admins"
description = "Lab security admins group for the SC-900 walkthrough."
security_enabled = true
mail_enabled = false
owners = [
data.azuread_client_config.current.object_id,
]
}SC-900 testet das Muster der Trennung von Belangen: Geheimnisse leben im Key Vault; der Zugriff wird Entra-Gruppen (nicht Benutzern) gewährt; die Gruppenmitgliedschaft wird auf der Identitätsebene verwaltet. Wir stellen einen Key Vault mit RBAC-Autorisierung bereit und weisen dann die Rolle Key Vault Secrets Officer der Sicherheitsgruppe aus Schritt 2 zu.
Jeder, der der Sicherheitsadministrator-Gruppe hinzugefügt wird, erbt automatisch die Berechtigung zur Geheimnisverwaltung. Vergleichen Sie dies mit dem älteren Zugriffsrichtlinien-Modell, bei dem jeder Benutzer einzeln auf dem Vault benannt wurde – der SC-900-Bereich Grundlegende Identitätsdienste und Identitätstypen von Microsoft Entra ID identifizieren nennt dies als den Gegensatz von RBAC-modern-besser-als-Richtlinie.
resource "azurerm_key_vault" "main" {
name = "kv-sc900-${substr(replace(uuid(), "-", ""), 0, 6)}"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
tenant_id = data.azurerm_client_config.current.tenant_id
sku_name = "standard"
enable_rbac_authorization = true
soft_delete_retention_days = 7
tags = local.tags
lifecycle {
ignore_changes = [name] # name uses uuid() — keep the original on subsequent applies
}
}
resource "azurerm_role_assignment" "kv_admin_self" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Administrator"
principal_id = data.azurerm_client_config.current.object_id
}
resource "azurerm_role_assignment" "kv_secrets_group" {
scope = azurerm_key_vault.main.id
role_definition_name = "Key Vault Secrets Officer"
principal_id = azuread_group.security_admins.object_id
}Die Foundational CSPM-Ebene von Defender for Cloud ist immer kostenlos und beinhaltet die Microsoft Cloud Security Benchmark-Bewertung – automatisierte Überprüfungen gegen die CIS / NIST-Kontrollen, die Microsoft in Azure portiert hat. Der SC-900-Bereich Funktionen von Microsoft-Sicherheitslösungen beschreiben weist dies als das Primitive für die sofortige Sichtbarkeit der Sicherheitslage aus.
Wir aktivieren es auf Abonnementebene und stellen einen Log Analytics-Arbeitsbereich bereit, in dem alle Sicherheitswarnungen / -empfehlungen für KQL-Abfragen landen. Mit den vier Primitiven (Entra-Gruppe, Key Vault mit RBAC, Defender CSPM, Log Analytics) ist der SC-900-Basis-Stack vollständig – gruppenbasierte Identität → Geheimnisverwaltung → Überwachung der Sicherheitslage → Audit-Struktur.
resource "azurerm_log_analytics_workspace" "main" {
name = "log-sc900"
resource_group_name = azurerm_resource_group.main.name
location = azurerm_resource_group.main.location
sku = "PerGB2018"
retention_in_days = 30
tags = local.tags
}
resource "azurerm_security_center_subscription_pricing" "cspm" {
tier = "Free"
resource_type = "CloudPosture"
}terraform destroy reißt alles ab. Die Entra-Gruppe wird sofort gelöscht; alle RBAC-Zuweisungen, die darauf verweisen, müssen bereits entfernt sein (Terraform kümmert sich um den Abhängigkeitsgraphen). Key Vault hat eine 7-tägige Soft-Delete-Funktion; purge_soft_delete_on_destroy = true in den Provider-Funktionen bereinigt ihn tatsächlich.
SC-900 deckt viele Microsoft-Sicherheitsbereiche ab, die dieses Lab nur konzeptionell berührt – Conditional Access (in SC-100 behandelt), Privileged Identity Management (PIM), Identity Protection, Richtlinien zur Erzwingung der Multi-Faktor-Authentifizierung, Microsoft Sentinel (in SC-200 behandelt), Microsoft Defender XDR (die vereinheitlichte Incident-Ansicht über Defender for Identity / Endpoint / Office / Cloud Apps), Microsoft Purview (Daten-Governance + Risiko + Compliance-Manager), Insider Risk Management, eDiscovery, Communication Compliance und das gesamte Microsoft 365 Compliance Center.
Wir bleiben bei den Primitiven Entra-Gruppe + Key Vault RBAC + Defender CSPM + Log Analytics, da sie die Grundlage sind, auf der jeder fortgeschrittenere Microsoft-Sicherheitsdienst aufbaut. Sentinel liest aus Log Analytics-Arbeitsbereichen. Conditional Access verwendet Entra-Gruppen für die Richtlinienzuweisung. Defender XDR reichert Defender for Cloud-Warnungen an. PIM hebt Gruppenmitgliedschaften in Entra hervor.
Für eine dienstspezifische Abdeckung siehe die Abschnitte Durchsuchen, Handbuch und Editorial dieser Zertifizierungsseite.